はじめに

F5ネットワークスのインフラストラクチャに対する最近の大規模な侵害により、269,000台以上のF5デバイスがオンライン上に露出し、攻撃に対して脆弱な状態にあることが判明しました。セキュリティ研究者がF5の管理ポータルで異常な活動を検知したことを受け、同社は警告を発し、重要な脆弱性に対するパッチをリリースしました。

Shadowserverの報告

迅速な対応にもかかわらず、Shadowserver財団が毎日公開しているスナップショットによると、約269,000のF5デバイスに関連するユニークなIPアドレスが、依然としてインターネット上で誰でもアクセス可能な状態にあります。Shadowserverのデバイス識別レポートでは、これらの露出したF5デバイスのIPデータが毎日共有されており、その約半数が米国に集中していることが示されています。

専門家が警告するリスク

F5が緊急パッチをリリースした後、世界中のセキュリティチームは未更新のデバイスのスキャンを開始しました。Shadowserverのレポートは、ロードバランサーからアプリケーションデリバリーコントローラーまで、企業ネットワークの中核をなすシステムを実行している269,000台以上のF5デバイスが依然としてオンラインでパッチ未適用であることを示しています。専門家は、重要なネットワークデバイスの管理インターフェースが露出していることは、攻撃者が足がかりを得たり、内部に侵入したり、機密データを窃取したりするための格好の標的となると警告しています。

地理的分布と対策

Shadowserverのデータによると、露出したデバイスの約45%が米国に位置していますが、ドイツや英国などのヨーロッパ諸国、インドや中国などのアジア諸国にも数千の脆弱なIPが存在します。セキュリティチームは、Shadowserverが提供するインタラクティブなダッシュボードを参照することで、即座の注意と修復が必要なIP範囲を特定できます。

セキュリティ強化への提言

ユーザーおよび管理者は、F5デバイスをベンダーの勧告と照合して確認し、遅滞なくパッチを適用することが強く推奨されます。F5のインシデント対応記事には、影響を受けるソフトウェアバージョンと、管理インターフェースを保護するための詳細な手順が記載されています。ネットワーク運用者は、定期的なスキャンと自動化ツールを使用して、未パッチのデバイスを検出し、Shadowserverのデバイス識別レポートのような外部データフィードを既存のセキュリティ情報およびイベント管理（SIEM）システムに統合することで、リアルタイムのアラートを受け取ることができます。この種の積極的な監視を怠ると、サービス停止、データ窃盗、または経済的損失につながる侵害のリスクが高まります。

今回のF5のインシデントは、信頼されているネットワークインフラベンダーでさえセキュリティの欠陥から免れないことを改めて示しています。管理者の勤勉さ、厳格なパッチ管理、および外部からの露出監査を組み合わせることが、露出したデバイスを標的とする日和見的な攻撃者に対する最善の防御策となります。

元記事: https://gbhackers.com/over-269000-f5-devices-found-exposed/